打破RAR5和7zip密码

最近更新到Elcomsoft高级归档密码恢复，我们的转发工具将密码分解为加密存档，带来与RAR5和7zip格式的兼容性，并启用多线程字典攻击。哪种档案格式是最安全的，哪些是最难的休息？读得以找出！

对于我们而言，高级归档密码恢复是我们具有怀旧情绪的产品。在高级ZIP密码恢复的名称下，它成为我们在1997年释放的第一个密码恢复工具。然后，它看起来像这样：

你还记得术语“共享软件”？这是90年代和2000年初的愤怒，这也成为我们的第一个共享软件产品。

这一切都开始为我们的一个客户打破一个zip存档。我们为该存档提供了一个命令行工具，并且能够强制密码。几个月后，我们发布了该工具的第一个GUI版本。一旦我们添加了更多的压缩格式，我们就会为此工具提供当前名称，高级归档密码恢复。

与其他工具相比，是什么让高级归档密码恢复？它是利用ZIP加密中缺点的特殊类型攻击，允许快速解锁加密的档案，而不会强调所有可能的密码组合。所以让我们谈谈ZIP加密。

通常有两个加密标准可用于ZIP档案：ZIP 2.0（遗留）加密和AES加密，反过来又进入了128位AES和256位AES优势。 Winzip在ZIP加密上有一个全面的文章，特别是提到以下内容：

“遗留（ZIP 2.0）加密：该旧加密技术为没有密码的休闲用户提供了一种保护，并且正在尝试确定文件的内容。然而，已知ZIP 2.0加密格式相对较弱，并且不能预期从具有访问专门的密码恢复工具的个人提供保护。“

“您不应该依靠ZIP 2.0加密来为您的数据提供强大的安全性。如果您对数据具有重要的安全要求，则应考虑使用上面描述的Winzip的AES加密。“

多年来，AES一直是WinZIP中的默认加密选项。然而，其他产品主要依赖于实现ZIP加密的开源组件。可自由的可重复使用的开源组件使Zip压缩Windows开发人员之间的选择格式，导致ZIP成为许多用户的De-Facto压缩标准。使用开源组件的使用经常受到在Winzip早期版本中使用的遗留，极度过时的，但仍由使用相同的开源组件构建的多个应用程序使用的遗产。因此，我们正在看到尽可能多的AES加密的ZIP归档，因为我们正在进行遗留加密的ZIP文件。

与经典保护方案相比，新AES加密有多强大？如果您使用的是单一Xeon E5-2603 CPU，则可以为使用ZIP经典加密保护的档案尝试每秒5400万密码。在同一台计算机上攻击ZIP AES存档只会产生每秒约2400个密码，这比22500倍较慢。如果您需要更快的恢复，请考虑使用GPU加速的工具，例如Elcomsoft分布式密码恢复。一个良好的旧的NVIDIA GTX 1080板有助于以每秒203000密码的速度攻击ZIP AES存档，而单独使用CPU的速度大约85倍。如果您设法获得其中一个更新的安培电路板，则恢复速度将增加。

它是遗留的ZIP加密，我们在两个主要攻击之后允许打破传统的ZIP加密速度：已知的明文攻击和保证恢复攻击。

已知的明文攻击使得能够解密某些类型的加密ZIP归档，而不对原始密码执行冗长的攻击。显然，此攻击仅适用于保护遗留加密的ZIP档案。 AES加密的档案对该攻击免疫。

此攻击的核心是要求与加密存档内部的至少一个未加密的文件（或部分此类文件的一部分）。如果您有这样的文件，以及使用相同的传统加密算法的zip archiver，您可以在高级存档密码恢复中使用已知的明文攻击以快速查找密码。值得注意的是，攻击不需要恢复原始的普通文本密码来解密存档，尽管可以快速恢复更短的密码。

回到1990年代和2000年初的2000年初，WinZip（以及基于当前信息ZIP源的其他工具），用于在随机数发生器中具有漏洞。此漏洞使我们能够构建类似于已知纯文本攻击的攻击，但不需要从存档中获取任何文件。唯一的限制是存档中的文件数：存档中必须至少有5个文件才能破坏。 Winzip在2001年8月发布的8.1版中修补了这一CVE。

此攻击可以打破大约99.6％的支持ZIP档案，其中包含了一个脆弱版的Winzip，或256个档案中的255个。

请注意，AES加密的zip存档从未具有此漏洞或任何其他已知的漏洞，如果这事项则。

在加密时，RAR和7zip格式都没有任何已知的漏洞。对于这些格式，一个人陷入了蛮力和字典攻击的试验和错误。

虽然RAR和7ZIP都使用AES加密来保护存档，但密码保护的实现是不同的。更有趣的是，密码保护的实施在“旧”和“新的”RAR格式（RAR4和RAR5相应地）之间有很大的不同。

在RAR4格式中，WinRAR使用128位或256位加密密钥的AES加密。但是，当用户尝试缩小加密存档时，Archiver从未检查过密码。相反，它只是执行解密，并且只有一旦文件完全处理，只需检查校验和。这使得攻击痛苦缓慢：一个人不得不解密整个文件以了解密码是否匹配。对于包含大文件的档案，攻击特别挣扎。

新的RAR5格式的开发已经在不同方向上移动了东西。 WinRar现在在压缩存档中存储密码哈希，在尝试提取之前检查密码。设计目标正在加快提取。开发人员提到选择的哈希函数故意缓慢并基于PBKDF2来减慢攻击。但是，这仍然比提取文件更快，更柔软，并按RAR4格式完成的方式计算校验和。最后，与较旧的RAR4相比，我们已经能够在新的RAR5格式上建立一个攻击。

根据7-zip.org，7zip在CBC模式下使用AES-256算法加密文件。加密密钥使用SHA-256哈希算法的524288（2 ^ 19 ^）迭代来源。有趣的是，7 Zip目前不使用盐来进一步加强档案的安全，这似乎是我们的巨大遗漏。

速度怎么样？ 虽然我没有用于高级存档密码恢复的基准，但我的数字是elcomsoft分布式密码恢复的数字，在我们的阿森纳中更快，（大量）更昂贵的工具。 对于7zip，我们有以下数字： 对于RAR5，数字更高。 事实上，RAR5档案可以攻击超过7zip档案的三倍：